Czy poza logowaniem/wylogowaniem użytkownika są jakieś uzasadnione przypadki, kiedy zmiana id sesji ma sens?
Chciałbym to schować (jako low level) za abstrakcją z założeniem, że jeśli potrzebujesz tego bezpośrednio to robisz coś źle. Na szybko jestem sobie w stanie wyobrazić jakieś podsumowanie zakupów (bez rejestracji konta) identyfikowane sesją, gdzie prywatne dane wyciekają przez session fixation, ale według mnie to już podchodzi pod złą implementację.
@MacDada: To nie XY jeśli o to ci chodzi. Przede wszystkim chcę napisać, a nie użyć w jakimś konkretnym celu. Lubię się bawić problemami tego typu, ale "unknown unknowns" nie przeskoczę. Spotkałeś się z tym, by jakaś biblioteka uwzględniła takie założenie?
@MQs: No to zacząłbym nie od „pisania po swojemu”, tylko od przejrzenia istniejących rozwiązań.
Np popatrz jak zarządza sesją Symfony. Zajrzyj w kod. Zobacz jak oni to robią. Dużo się nauczysz. Możesz też zobaczyć kiedy oni zmieniają ID, co raczej odpowie na Twoje pytanie.
W końcu kod ten był pisany przez osoby, które „wiedziały co robią”, potem przeglądany przez innych profesjonalistów, a wreszcie przebadany w boju przez duże produkcyjne aplikacje.
@MQs: Zarządza: np Security Component sesje tworzy, migruje, niszczy, etc. Wiem, bo naciąłem się na bugi z tym związane. Czytałem kod, robiłem issue, PRy -> nieźle poznałem w ten sposób ten kod i koncepty z nim związane.
Zazdroszczę Wam że se możecie o każdej porze iść po coś do żabki czy innego sklepu. Ja najbliższą mam dopiero w powiatowym (ponad 20 kilometrów)... #przegryw
#!$%@? znowu muchy zaczęły się zalęgać w rogu mojego pokoju XD dokładnie to samo było rok temu ale wtedy przynajmniej pająk był i uratował sytuację ale go już nie ma a muchy są takie bardzo małe i co ja mam Niby teraz zrobić? Xd
Chciałbym to schować (jako low level) za abstrakcją z założeniem, że jeśli potrzebujesz tego bezpośrednio to robisz coś źle. Na szybko jestem sobie w stanie wyobrazić jakieś podsumowanie zakupów (bez rejestracji konta) identyfikowane sesją, gdzie prywatne dane wyciekają przez session fixation, ale według mnie to już podchodzi pod złą implementację.
#programowanie #backend
Np popatrz jak zarządza sesją Symfony. Zajrzyj w kod. Zobacz jak oni to robią. Dużo się nauczysz. Możesz też zobaczyć kiedy oni zmieniają ID, co raczej odpowie na Twoje pytanie.
W końcu kod ten był pisany przez osoby, które „wiedziały co robią”, potem przeglądany przez innych profesjonalistów, a wreszcie przebadany w boju przez duże produkcyjne aplikacje.
* https://github.com/symfony/symfony/pulls?utf8=%E2%9C%93&q=is%3Apr+author%3AMacDada
* https://github.com/symfony/symfony/issues?utf8=%E2%9C%93&q=is%3Aissue+author%3AMacDada+
Trochę się z tymi sesjami namęczyłem (tak to jest jak się unowocześnia starożytne projekty ;-))
Pobierz całego frameworka, znajdź metodę co migruje sesję, znajdź jej użycia, poczytaj kod -> będziesz wiedział.